六月丁香首页-六月丁香婷婷色色综合-六月丁香婷婷首页-六月丁香五月-六月丁香五月花-六月丁香五月婷婷-六月丁香综合-六月丁香综合网-六月天色无码导航-六月天婷婷-六月天婷婷综合网-六月天外网欧美激情

內(nèi)容摘要：CloudPanel 是一款頗為知名的 Linux 管理面板，方便用戶管理諸如 Nginx、PHP、MySQL、Apache 等軟件的安裝和部署，同時也可以創(chuàng)建多個網(wǎng)站并隔離等。目前安全公司披露了 C 重慶同城上門外圍上門外圍女（電話微信181-8279-1445）提供頂級外圍女上門，可滿足你的一切要求

CloudPanel 是安全一款頗為知名的 Linux 管理面板，方便用戶管理諸如 Nginx、警告PHP、開源重慶同城上門外圍上門外圍女（電話微信181-8279-1445）提供頂級外圍女上門，可滿足你的一切要求MySQL、面板Apache 等軟件的存多安裝和部署，同時也可以創(chuàng)建多個網(wǎng)站并隔離等。個安關(guān)注更新

目前安全公司披露了 CloudPanel 存在的全漏多個漏洞，說是洞缺漏洞可能不太準(zhǔn)確，這些問題更像是陷請缺陷，雖然是后續(xù)缺陷但潛在危害并不比漏洞小。

網(wǎng)絡(luò)安全公司 Rapid7 的藍(lán)點研究人員 Tod 在 2022 年 11 月發(fā)現(xiàn) CloudPanel 存在多個問題，當(dāng)時研究人員已經(jīng)負(fù)責(zé)任的安全將這些問題通報給開發(fā)商 MGT-COMMERCE。

但直到本文發(fā)布時，警告重慶同城上門外圍上門外圍女（電話微信181-8279-1445）提供頂級外圍女上門，可滿足你的一切要求仍然有 3 處缺陷沒有被修復(fù)，開源開發(fā)商只解決了一個與軟件安裝腳本有關(guān)的面板小問題。

CloudPanel 在 AWS、Azure、Google Cloud 等公有云平臺的市場里很受歡迎，在面板類里排名第一，考慮到用戶量如此多，漏洞修復(fù)還這么慢確實不應(yīng)該，使用 CloudPanel 面板的用戶應(yīng)該多多注意。

問題 1：下載內(nèi)容未經(jīng)驗證 (已修復(fù))

研究人員發(fā)現(xiàn) CloudPanel 通過 curl to bash 安裝過程沒有進(jìn)行完整性檢查，因此如果攻擊者劫持或替換安裝包，都可能發(fā)起供應(yīng)鏈攻擊。

接到通報后 CloudPanel 在線更新了腳本支持了加密安全校驗解決問題。

問題 2：附帶弱防火墻規(guī)則替代默認(rèn)規(guī)則 (未修復(fù))

正常情況下系統(tǒng)自帶的防火墻規(guī)則屬于中等安全級別，用戶可以根據(jù)自己的需要修改防火墻規(guī)則加強(qiáng)安全性。

但 CloudPanel 在安裝過程中會將服務(wù)器防火墻規(guī)則替換為更弱雞的規(guī)則，例如原本管理員配置的防火墻規(guī)則是僅允許特定 IP/IP 端訪問服務(wù)器，安裝 CloudPanel 后這些規(guī)則會刪了，實際上就是弱化了安全性。

問題 3：超級管理員賬戶竟然是空的 (未修復(fù))

CloudPanel 安裝后超級管理員賬戶是空的，任何人都可以創(chuàng)建管理員賬戶。這是一個比較嚴(yán)重的問題，因為各種惡意爬蟲無時不刻不再檢索存在弱點的服務(wù)器，一旦被掃描到黑客就可以趕在用戶前創(chuàng)建管理員賬戶從而接管服務(wù)器。

目前 CloudPanel 更新了一份支持文檔要求用戶安裝成功后立即創(chuàng)建管理員賬戶，避免被機(jī)速更快的機(jī)器人率先創(chuàng)建了管理員。

問題 4：所有 CloudPanel 都是用相同的私鑰??????

研究人員還發(fā)現(xiàn) CloudPanel 使用靜態(tài) SSL 證書安裝，這導(dǎo)致所有安裝的面板私鑰都是相同的，攻擊者也可以通過 SSL 證書的指紋來找到安裝 CloudPanel 的服務(wù)器。

由于私鑰是相同的，因此攻擊者還可以發(fā)起 MiMT 中間人攻擊，劫持用戶與 CloudPanel 之間的流量，嗅探內(nèi)容包括解密用戶輸入的賬號和密碼。

目前還不知道 CloudPanel 為啥這么長時間了還沒解決問題，但如果你使用 CloudPanel 的話，最好提高警惕，包括檢查管理員賬戶設(shè)置、配置自己的 SSL 證書、檢查 ufw 防火墻規(guī)則。